FINANSTILSYNET 


Redegørelse om påbud til Nets A/S - Anven- 


delse af stærk kundeautentifikation 


1. Indledning 


Finanstilsynet har undersøgt Nets Danmark A/S’ (Nets) efterlevelse af reg- 
lerne i lov om betalinger (betalingsloven) om krav til anvendelse af stærk kun- 
deautentifikation. Undersøgelsen skete, da Finanstilsynet blev bekendt med, 
at der for en række kortbetalinger, hvor Nets agerede som kortindløser, sand- 
synligvis ikke blev anvendt systemer, der muliggjorde overholdelse af reg- 
lerne om anvendelse af stærk kundeautentifikation ved gennemførelse af 
elektroniske betalingstransaktioner i fysisk handel som fastsat i $ 128, stk. 1, 
i betalingsloven. 


Nets udbyder indløsning af kortbetalinger i Danmark, hvilket er en betalings- 
tjeneste efter betalingsloven. Nets agerer således i forbindelse med en kort- 
betaling som betalingsmodtagerens betalingstjenesteudbyder. Nets er i den 
forbindelse forpligtet til at sikre, at betalingstransaktioner iværksættes ved 
brug af stærk kundeautentifikation. 


I betalingssituationer, som enten er omfattet af en undtagelse fra kravet om 
stærk kundeautentifikation, eller som falder uden for anvendelsesområdet for 
kravet om stærk kundeautentifikation, skal Nets sikre, at der er etableret sy- 
stemer, der understøtter, at kortudstederen informeres om, at der er tale om 
en sådan betalingstransaktion. 


Undlader Nets at sikre enten, at der anvendes stærk kundeautentifikation, el- 
ler at kortudstederen informeres om, at der er tale om en betaling, der er om- 
fattet af en undtagelse eller er udenfor anvendelsesområdet, lever Nets såle- 
des ikke op til betalingsloven. 


2. Sammenfatning 


Finanstilsynet vurderer, at Nets, i sin egenskab af kortindløser, ikke har levet 
op til sine forpligtelser i betalingsloven. Finanstilsynet har i den forbindelse 
givet Nets følgende tre påbud: 
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Finanstilsynet påbyder Nets at sikre, at der for betalingstransaktioner igang- 
sat via ubemandede terminaler til betaling af transport- og parkeringsgebyrer 
enten anvendes stærk kundeautentifikation, eller at kortudstedende beta- 
lingstjenesteudbydere informeres om, at transaktionerne er omfattet af und- 
tagelsen fra kravet om anvendelse af stærk kundeautentifikation i forbindelse 
med betalingstransaktioner igangsat via ubemandede terminaler til betaling 
af transport- og parkeringsgebyrer. 


For at ovenfor nævnte undtagelse kan anvendes i praksis, er det en forud- 
sætning, at betalingstjenesteudbyderne er i stand til at identificere, at en given 
betalingstransaktion bliver iværksat med det formål at betale en befordrings- 
billet eller et parkeringsgebyr. Finanstilsynet vurderer, at Nets ikke har gjort 
det muligt at sikre dette forhold. 


Finanstilsynet påbyder derudover Nets at sikre anvendelse af stærk kunde- 
autentifikation ved betalingstransaktioner igangsat via betalingsterminaler ba- 
seret på aflæsning af chip uden mulighed for at indtaste PIN-kode. 


Finanstilsynet har erfaret, at Nets har indløst betalinger, hvor der ikke har væ- 
ret anvendt stærk kundeautentifikation i en række betalingsterminaler, da 
disse har været baseret på aflæsning af chip uden mulighed for at indtaste 
PIN-kode. Der er for betalinger via disse terminaler således ikke anvendt to 
autentifikationselementer. 


Det er på den baggrund Finanstilsynets vurdering, at Nets ikke har overholdt 
sine forpligtelser i betalingsloven, da Nets har undladt at sikre, at der anven- 
des stærk kundeautentifikation for samtlige korttransaktioner, der ikke er om- 
fattet af en udtagelse. 


Finanstilsynet påbyder endelig Nets at sikre anvendelse af stærk kundeau- 
tentifikation ved betalingstransaktioner igangsat med anvendelse af magnet- 
stribe som besiddelseselement for så vidt angår betalinger foretaget med be- 
talingskort udstedt indenfor EU/EØS. 


Finanstilsynet har erfaret, at Nets har indløst betalinger, hvor en magnetstribe 
blev anvendt som besiddelseselement for kort, der er udstedt indenfor 
EU/EØS. 


Det er Finanstilsynets vurdering, at en magnetstribe ikke lever op til kravene 
om beskyttelse mod kopiering eller anden genskabelse. En magnetstribe kan 
dermed ikke regnes som et besiddelseselement til brug for stærk kundeau- 
tentifikation. Det er på den baggrund Finanstilsynets vurdering, at Nets på 
dette punkt ikke har overholdt sine forpligtelser i betalingsloven, da Nets har 
undladt at sikre, at der anvendes stærk kundeautentifikation. 
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